Foi descoberta uma nova falha de segurança que torna os telemóveis Android vulneráveis a um ataque que permite a hackers roubar os teus códigos de autenticação de dois fatores (2FA). Isto significa que conseguem intercetar estes códigos para obter acesso não autorizado às tuas contas, como o Gmail, Trello ou outras aplicações de trabalho.
O mais alarmante? Conseguem fazê-lo em menos de 30 segundos. A única condição é que tenhas, sem saber, uma aplicação maliciosa a correr no teu sistema.
Códigos 2FA e dados pessoais em risco
Este ataque não se limita a intercetar códigos de autenticação. Os hackers conseguem também aceder a dados pessoais e até mesmo à tua localização. Este novo método, batizado de Pixnapping, exige a instalação prévia de uma app maliciosa.
É pouco provável que seja uma app que descarregues da Play Store. O mais certo é ser instalada no teu telemóvel através de um ataque de phishing, muitas vezes sem que te apercebas de nada.
O que torna o Pixnapping particularmente perigoso é que a app nem sequer precisa de permissões especiais do sistema; consegue ler os dados diretamente do ecrã. Na prática, isto significa que pode ver a tua localização quando usas o mapa do Instagram, espreitar os teus dados na app do banco ou até capturar a tua palavra-passe enquanto a digitas.
A técnica consiste em executar operações gráficas sobre os píxeis individuais do ecrã. Através delas, a app consegue reconstruir as letras, números e formas que aparecem no teu visor. Essencialmente, tudo o que está visível quando uma aplicação está aberta pode ser roubado, incluindo os teus preciosos códigos de dois fatores.
Como funciona o Pixnapping
Investigadores conseguiram aplicar o Pixnapping com sucesso em smartphones Samsung Galaxy e Google Pixel, mas é muito provável que a falha afete também telemóveis de outras marcas. A Google já lançou uma correção na semana passada, mas esta não foi suficiente, pois já existe uma versão adaptada do ataque que consegue contornar a atualização.
O ataque desenrola-se em três fases. De forma simplificada, o processo é o seguinte: primeiro, a app maliciosa cria as condições para comunicar com a aplicação que o hacker pretende vigiar. Depois, a informação que a aplicação-alvo mostra no ecrã — que é, no fundo, um fluxo de píxeis — é intercetada.
De seguida, a app maliciosa aplica um processamento gráfico a estes píxeis para “roubar” a imagem de uma área específica do ecrã: precisamente onde a app Google Authenticator mostra os códigos 2FA. Com esta informação, o hacker consegue reconstruir o código no seu próprio sistema e obter acesso à tua conta — tudo em menos de meio minuto.
Em resposta, a Google afirmou: “Lançámos um patch na atualização de segurança do Android de setembro para a CVE-2023-48651, que mitiga parcialmente este comportamento. Vamos lançar um patch adicional para esta vulnerabilidade na atualização de segurança do Android de dezembro. Até à data, não vimos qualquer evidência de exploração.”
Já tinhas muitas boas razões para estar atento a ataques de phishing, mas hoje, infelizmente, surgiu mais uma.
